Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/02/2019
La majoria dels gestors de contrasenyes exposen dades en memòria
Una anàlisi de seguretat de sophos alerta que els gestors de contrasenyes exposen dades de l'usuari en memòria als quals podria accedir de manera il·legítima qualsevol tipus de malware o troià.
Encara que continue sent extremadament recomanable utilitzar gestors de contrasenyes per a emmagatzemar les nostres dades d'accés d'una manera més segura i centralitzada un estudi ha revelat que tots ells exposen algun tipus de dada en memòria i que el seu ús no seria completament segur.
A continuació s'especifica que problemes de seguretat s'han trobat en cadascun d'ells:
- 1Password4 for Windows: emmagatzema una versió ofuscada de la contrasenya mestra en memòria, però sota certes condicions una versió vulnerable en text pla s'emmagatzema en memòria.
- Password7 for Windows: malgrat ser una versió més nova que l'anterior està catalogada com més insegura, ja que exposa la informació en bloquejar el registre que s'està utilitzant per a treballar amb el.
- Keepass: Les dades no es poden recuperar de memòria cada vegada que són utilitzades però sí la contrasenya mestra, afortunadament no és desxifrable.
- LastPass: les entrades romanen en memòria encara que l'aplicació estiga bloquejant-les i la contrasenya mestra s'emmagatzema en una memòria intermèdia que pot ser llegida per aplicacions malicioses i posteriorment desxifrada usant derivacions de l'algorisme de xifratge.
Després d'obtindre aquestes dades gràcies a l'estudi de Sophos potser el més recomanable és utilitzar Keepass